Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID

  • Статья

В этой статье вы можете найти сведения, необходимые для ограничения разрешений администратора пользователя, назначив наименее привилегированные роли в идентификаторе Microsoft Entra ID. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.

Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных область или создании и назначении настраиваемой роли в идентификаторе Microsoft Entra.

Прокси приложения

Задача Наименее привилегированная роль Дополнительные роли
Настройка приложения прокси приложений Администратор приложений
Настройка свойств группы соединителей Администратор приложений
Создание регистрации приложения, когда эта возможность отключена для всех пользователей Разработчик приложений Администратор облачных приложений
Администратор приложений
Создание группы соединителей Администратор приложений
Удаление группы соединителей Администратор приложений
Disable application proxy (Отключение прокси приложения) Администратор приложений
Скачивание службы соединителя Администратор приложений
Чтение всех конфигураций Администратор приложений

Внешние удостоверения / B2C

Задача Наименее привилегированная роль Дополнительные роли
Создание каталогов Azure AD B2C Все пользователи, не являющиеся гостевыми
Создание корпоративных приложений Администратор облачных приложений Администратор приложений
Создание, чтение, изменение и удаление политик B2C Администратор политики IEF B2C
Создание, чтение, изменение и удаление поставщиков удостоверений Администратор внешнего поставщика удостоверений
Создание, чтение, изменение и удаление маршрутов пользователей для сброса пароля Внешний поток пользователя id Администратор istrator
Создание, чтение, изменение и удаление маршрутов пользователей для редактирования профиля Внешний поток пользователя id Администратор istrator
Создание, чтение, изменение и удаление маршрутов пользователей для входа Внешний поток пользователя id Администратор istrator
Создание, чтение, изменение и удаление маршрутов пользователей для регистрации Внешний поток пользователя id Администратор istrator
Создание, чтение, изменение и удаление атрибутов пользователей Атрибут внешнего потока идентификатора Администратор istrator
Создание, чтение, изменение и удаление пользователей Администратор пользователей
Настройка параметров внешнего взаимодействия B2B Глобальный администратор
Чтение всех конфигураций Глобальный читатель
Чтение журналов аудита B2C Глобальный читатель

Примечание.

Глобальные Администратор istratorы Azure AD B2C не имеют одинаковых разрешений, что и microsoft Entra Global Администратор istrators. Если у вас есть права глобального Администратор istrator Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.

Корпоративная фирменная символика

Задача Наименее привилегированная роль Дополнительные роли
Настройка корпоративной фирменной символики Организационный брендинг Администратор istrator
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию

Связь

Задача Наименее привилегированная роль Дополнительные роли
Сквозная проверка подлинности Администратор гибридных удостоверений
Чтение всех конфигураций Глобальный читатель Администратор гибридных удостоверений
Бесшовный единый вход Администратор гибридных удостоверений

Облачная подготовка

Задача Наименее привилегированная роль Дополнительные роли
Сквозная проверка подлинности Администратор гибридных удостоверений
Чтение всех конфигураций Глобальный читатель Администратор гибридных удостоверений
Бесшовный единый вход Администратор гибридных удостоверений

Connect Health

Задача Наименее привилегированная роль Дополнительные роли
Добавление или удаление служб Ответственное лицо
Примените исправлений к ошибкам синхронизации Участник Ответственное лицо
Настройка уведомлений Участник Ответственное лицо
Настройка параметров Ответственное лицо
Настройка уведомлений синхронизации Участник Ответственное лицо
Чтение отчетов безопасности ADFS читатель сведений о безопасности; Участник
Ответственное лицо
Чтение всех конфигураций Читатель Участник
Ответственное лицо
Чтение ошибок синхронизации Читатель Участник
Ответственное лицо
Чтение служб синхронизации Читатель Участник
Ответственное лицо
Просмотр оповещений и метрик Читатель Участник
Ответственное лицо
Просмотр оповещений и метрик Читатель Участник
Ответственное лицо
Просмотр метрик и оповещений службы синхронизации Читатель Участник
Ответственное лицо

Личные доменные имена

Задача Наименее привилегированная роль Дополнительные роли
Управление доменами Доменный имя Администратор istrator
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию

Доменные службы

Задача Наименее привилегированная роль Дополнительные роли
Создание экземпляра доменных служб Microsoft Entra Администратор приложений
Администратор групп
Участник доменных служб
Выполнение всех задач доменных служб Microsoft Entra Группа администраторов AAD DC
Чтение всех конфигураций Читатель для подписки Azure, которая содержит службу AD DS

.

Задача Наименее привилегированная роль Дополнительные роли
Удаление устройства Администратор облачных устройств Администратор Intune
Отключение устройства Администратор облачных устройств Администратор Intune
Включение устройства Администратор облачных устройств Администратор Intune
Чтение базовой конфигурации Роль пользователя по умолчанию
Чтение ключей BitLocker Администратор облачных устройств Администратор службы технической поддержки
Администратор Intune
администратор безопасности;
читатель сведений о безопасности;

Корпоративные приложения

Задача Наименее привилегированная роль Дополнительные роли
Согласие на любые делегированные разрешения Администратор облачных приложений Администратор приложений
Согласие на разрешения приложений, исключая Microsoft Graph Администратор облачных приложений Администратор приложений
Согласие на разрешения приложений в Microsoft Graph Администратор привилегированных ролей
Согласие на доступ приложений к собственным данным Роль пользователя по умолчанию
Создание корпоративных приложений Администратор облачных приложений Администратор приложений
Управление прокси приложения Администратор приложений
Управление параметрами пользователей Глобальный администратор
Чтение проверок доступа для группы или приложения читатель сведений о безопасности; администратор безопасности;
Администратор пользователей
Чтение всех конфигураций Роль пользователя по умолчанию
Обновление назначений корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Администратор пользователей
Обновление владельцев корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление свойств корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление параметров подготовки корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление параметров самообслуживания для корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление свойств единого входа Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Создание и изменение пользовательских расширений проверки подлинности Расширяемость проверки подлинности Администратор istrator Администратор приложений

Управление правами

Задача Наименее привилегированная роль Дополнительные роли
Добавить ресурсы в каталог Администратор управления удостоверениями С помощью управления правами можно делегировать эту задачу владельцу каталога.
Добавление сайтов SharePoint Online в каталог Администратор SharePoint

Группы

Задача Наименее привилегированная роль Дополнительные роли
Назначение лицензии Администратор пользователей
Создать группу Администратор групп Администратор пользователей
Создание, изменение и удаление проверок доступа для группы или приложения Администратор пользователей
Управление сроком действия группы Администратор пользователей
Управление параметрами группы Администратор групп Администратор пользователей
Чтение всех конфигураций (за исключением скрытых членств) Читатели каталогов Роль пользователя по умолчанию
Чтение скрытых членств Член группы Владелец группы
Администратор паролей
Администратор Exchange
Администратор SharePoint
Администратор Teams
Администратор пользователей
Чтение данных о членстве в группах со скрытым членством Администратор службы технической поддержки Администратор пользователей
Администратор Teams
Отмена лицензии Администратор лицензий Администратор пользователей
Обновление членства в группе Владелец группы Администратор пользователей
Обновление владельцев группы Владелец группы Администратор пользователей
Обновление свойств группы Владелец группы Администратор пользователей
Удалить группу Администратор групп Администратор пользователей

Защита идентификации

Задача Наименее привилегированная роль Дополнительные роли
Настройка уведомлений об оповещениях администратор безопасности;
Настройка и включение (или отключение) политики MFA администратор безопасности;
Настройка и включение (или отключение) политики риска при входе администратор безопасности;
Настройка и включение (или отключение) политики риска пользователя администратор безопасности;
Настройка еженедельных дайджестов администратор безопасности;
Удаление всех данных обнаружения риска администратор безопасности;
Устранение или отклонение уязвимостей администратор безопасности;
Чтение всех конфигураций читатель сведений о безопасности;
Чтение всех данных обнаружения риска читатель сведений о безопасности;
Чтение уязвимостей читатель сведений о безопасности;

Лицензии

Задача Наименее привилегированная роль Дополнительные роли
Назначение лицензии Администратор лицензий Администратор пользователей
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию
Отмена лицензии Администратор лицензий Администратор пользователей
Тестирование или приобретение подписки Администратор выставления счетов

Мониторинг — журналы аудита

Задача Наименее привилегированная роль Дополнительные роли
Чтение журналов аудита Читатель отчетов читатель сведений о безопасности;
администратор безопасности;

Мониторинг — входы в систему

Задача Наименее привилегированная роль Дополнительные роли
Чтение журналов входа Читатель отчетов читатель сведений о безопасности;
администратор безопасности;
Глобальный читатель

Многофакторная проверка подлинности

Задача Наименее привилегированная роль Дополнительные роли
Удаление всех существующих паролей приложений, созданных выбранными пользователями Политика проверки подлинности Администратор istrator Администратор проверки подлинности
Отключите многофакторную проверку подлинности, заданную для каждого пользователя Администратор проверки подлинности Привилегированный администратор проверки подлинности
Включение MFA для каждого пользователя Администратор проверки подлинности Привилегированный администратор проверки подлинности
Управление параметрами службы MFA Политика проверки подлинности Администратор istrator
Требовать у выбранных пользователей сообщать о способах связи еще раз Администратор проверки подлинности
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах Администратор проверки подлинности

Сервер MFA

Задача Наименее привилегированная роль Дополнительные роли
Блокировка и разблокировка пользователей Политика проверки подлинности Администратор istrator
Настройка блокировки учетной записи Политика проверки подлинности Администратор istrator
Настройка правил кэширования Политика проверки подлинности Администратор istrator
Настройка предупреждения о мошенничестве Политика проверки подлинности Администратор istrator
Настройка уведомлений Политика проверки подлинности Администратор istrator
Настройка одноразового обхода проверки Политика проверки подлинности Администратор istrator
Настройка параметров телефонного звонка Политика проверки подлинности Администратор istrator
Настройка поставщиков Политика проверки подлинности Администратор istrator
Настройка параметров сервера Политика проверки подлинности Администратор istrator
Чтение отчета об активности Глобальный читатель
Чтение всех конфигураций Глобальный читатель
Чтение состояния сервера Глобальный читатель

Организационные связи

Задача Наименее привилегированная роль Дополнительные роли
Управление поставщиками удостоверений Администратор внешнего поставщика удостоверений
Чтение всех конфигураций Глобальный читатель

Сброс пароля

Задача Наименее привилегированная роль Дополнительные роли
Настройка методов проверки подлинности Политика проверки подлинности Администратор istrator
Настройка параметров настройки Политика проверки подлинности Администратор istrator
Настройка уведомлений Политика проверки подлинности Администратор istrator
Настройка интеграции с локальной средой Политика проверки подлинности Администратор istrator
Настройка свойств сброса паролей Администратор пользователей Политика проверки подлинности Администратор istrator
Настройка регистрации Политика проверки подлинности Администратор istrator
Чтение всех конфигураций администратор безопасности; Администратор пользователей

Управление привилегированными пользователями

Задача Наименее привилегированная роль Дополнительные роли
Назначение пользователей ролям Администратор привилегированных ролей
Настройка параметров роли Администратор привилегированных ролей
Просмотр действия аудита читатель сведений о безопасности;
Просмотр членств в роли читатель сведений о безопасности;

Роли и администраторы

Задача Наименее привилегированная роль Дополнительные роли
Управление назначением ролей Администратор привилегированных ролей
Проверка доступа на чтение роли Microsoft Entra читатель сведений о безопасности; администратор безопасности;
Администратор привилегированных ролей
Чтение всех конфигураций Роль пользователя по умолчанию

Безопасность — методы проверки подлинности

Задача Наименее привилегированная роль Дополнительные роли
Включение или отключение методов проверки подлинности Политика проверки подлинности Администратор istrator
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей Администратор проверки подлинности Привилегированный администратор проверки подлинности
Настройка защиты паролем администратор безопасности;
Настройка смарт-блокировки администратор безопасности;
Чтение всех конфигураций Глобальный читатель

Безопасность — условный доступ

Задача Наименее привилегированная роль Дополнительные роли
Настройка доверенных IP-адресов MFA Администратор условного доступа
Создание пользовательских элементов управления Администратор условного доступа администратор безопасности;
Создание именованных расположений Администратор условного доступа администратор безопасности;
Создание политик Администратор условного доступа администратор безопасности;
Создание условий использования Администратор условного доступа администратор безопасности;
Создание сертификата для VPN-подключения Администратор облачных приложений Администратор приложений
Удаление классической политики Администратор условного доступа администратор безопасности;
Удаление условий использования Администратор условного доступа администратор безопасности;
Удаление сертификата для VPN-подключения Администратор условного доступа администратор безопасности;
Отключение классической политики Администратор условного доступа администратор безопасности;
Управление пользовательскими элементами управления Администратор условного доступа администратор безопасности;
Управление именованными расположениями Администратор условного доступа администратор безопасности;
Управление условиями использования Администратор условного доступа администратор безопасности;
Чтение всех конфигураций Роль пользователя по умолчанию
Чтение именованных расположений Роль пользователя по умолчанию

Безопасность — оценка безопасности удостоверений

Задача Наименее привилегированная роль Дополнительные роли
Чтение всех конфигураций читатель сведений о безопасности; администратор безопасности;
Чтение оценки безопасности читатель сведений о безопасности; администратор безопасности;
Обновление состояния события администратор безопасности;

Безопасность — рискованные входы

Задача Наименее привилегированная роль Дополнительные роли
Чтение всех конфигураций читатель сведений о безопасности;
Чтение данных о рискованных входах читатель сведений о безопасности;

Безопасность — пользователи, находящиеся в группе риска

Задача Наименее привилегированная роль Дополнительные роли
Отклонение всех событий. администратор безопасности;
Чтение всех конфигураций читатель сведений о безопасности;
Чтение данных о пользователях, находящихся в группе риска читатель сведений о безопасности;

Временный секретный код

Задача Наименее привилегированная роль Дополнительные роли
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя). Привилегированный администратор проверки подлинности
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя). Администратор проверки подлинности
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода). Глобальный читатель
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода. Политика проверки подлинности Администратор istrator

Клиент

Задача Наименее привилегированная роль Дополнительные роли
Создание идентификатора Microsoft Entra или клиента Azure AD B2C Создатель клиента
Обновление свойств клиента Microsoft Entra Администратор выставления счетов
Управление заявлением о конфиденциальности и контактом Администратор выставления счетов

Пользователи

Задача Наименее привилегированная роль Дополнительные роли
Добавление пользователя в роль каталога Администратор привилегированных ролей
Добавление пользователя в группу Администратор пользователей
Назначение лицензии Администратор лицензий Администратор пользователей
Создание гостевого пользователя Приглашающий гостей Администратор пользователей
Сброс приглашения гостевого пользователя Администратор службы технической поддержки Администратор пользователей
Создать пользователя Администратор пользователей
Удаление пользователей Администратор пользователей
Отмена маркеров обновления для администраторов с ограниченными правами Администратор пользователей
Отмена маркеров обновления для пользователей, не являющихся администраторами Администратор службы технической поддержки Администратор пользователей
Отмена маркеров обновления для привилегированных администраторов (см. документацию) Привилегированный администратор проверки подлинности
Чтение базовой конфигурации Роль пользователя по умолчанию
Сброс пароля для администраторов с ограниченными правами Администратор пользователей
Сброс пароля для пользователей, не являющихся администраторами Администратор паролей Администратор пользователей
Сброс паролей для привилегированных администраторов Привилегированный администратор проверки подлинности
Отмена лицензии Администратор лицензий Администратор пользователей
Обновление всех свойств, кроме имени участника-пользователя Администратор пользователей
Обновление свойства с поддержкой локальной синхронизации Администратор гибридных удостоверений
Обновление имени участника-пользователя для администраторов с ограниченными правами Администратор пользователей
Обновление свойства имени участника-пользователя для привилегированных администраторов Привилегированный администратор проверки подлинности
Обновление параметров пользователя — разрешения роли пользователя по умолчанию Администратор привилегированных ролей
Обновление параметров пользователя — гостевой доступ пользователей Администратор привилегированных ролей
Обновление способов проверки подлинности Администратор проверки подлинности Привилегированный администратор проверки подлинности

Поддержка

Задача Наименее привилегированная роль Дополнительные роли
Отправка запроса в службу поддержки Администратор поддержки служб Администратор приложений
Администратор Azure Information Protection
Администратор выставления счетов
Администратор облачных приложений
Администратор соответствия требованиям
Администратор Dynamics 365
Администратор аналитики классических приложений
Администратор Exchange
Администратор Intune
Администратор паролей
Fabric Администратор istrator
Привилегированный администратор проверки подлинности
Администратор SharePoint
Администратор Skype для бизнеса
Администратор Teams
Администратор связи Teams
Администратор пользователей

Следующие шаги